在“更改密码”和“创建用户”表单中,我检查客户端上password
和confirmPassword
的相等性。
在服务器上检查是否有任何安全性好处?
答案 0 :(得分:1)
签入客户端代码将允许您向用户提供即时反馈,检查服务器允许您执行正确的验证。
您永远不应该在客户端进行任何真正的验证,而应该只是为了用户的利益。
更改密码表单应始终提示用户当前密码以防止XSS,也不要将您的“旧密码”字段与您的登录或注册密码字段具有相同的字段名称,以防止浏览器自动完成。
在隐藏字段中嵌入单一用途令牌也不会有什么坏处